Configuration Manager (現在のブランチ) に適用
この記事では、共同管理に関してよく寄せられる質問に回答します。 詳細については、「 共同管理とは」を参照してください。
計画
共同管理を有効にしたい場合、どのような効果がありますか?
共同管理を有効にすると、Configuration Manager は引き続きすべてのワークロードの管理機関になります。 そのため、引き続き同じ方法でデバイスを管理できます。 ワークロードを Intune に切り替えない場合、共同管理を有効にする前と同じように、すべての Configuration Manager 設定とアプリが引き続き動作します。
共同管理を有効にすることは、エンド ユーザーに対して完全に透過的です。 再起動も、エージェントのインストールも、中断も、ユーザーへの通知もありません。
管理者は、Microsoft Intune 管理センターで共同管理されたデバイスを確認できます。 管理センターからリモート アクションを実行でき、 エンドポイント分析を使用した分析情報の恩恵を受けることができます。
共同管理デバイスは、次回デバイスがリセットされるときに、Autopilot でプロビジョニングされたデバイスに変換される可能性があります。
ポータル サイトの使用を検討してください。 これは、Microsoft Intune 製品ファミリのクロスプラットフォーム アプリ ポータル エクスペリエンスです。 ポータル サイトも使用するように共同管理デバイスを構成することで、すべてのデバイスで一貫したユーザー エクスペリエンスを提供できます。 ユーザーは、今後統合されたエクスペリエンスを提供するため、ポータル サイトについて理解する必要があります。 詳細については、「共同管理デバイスでポータル サイト アプリを使用する」を参照してください。
共同管理またはテナントアタッチを使用する必要がありますか?
両方とも! 個別に使用することはできますが、一緒に動作します。
共同管理 を使用すると、Configuration Manager と Intune の両方で Windows 10 以降のデバイスを同時に管理できます。 Configuration Manager クライアントをインストールし、デバイスを Intune に登録します。 デバイスは、両方のサービスと通信します。 Configuration Manager ポリシーは、管理機関として Intune に切り替えるワークロードを制御します。 共同管理を有効にし、テナントアタッチを使用して Microsoft Intune 管理センターにデバイスをアップロードすることはできません。
テナントのアタッチ を使用して、Configuration Manager サイトと Intune テナントの間の同期を設定します。 その後、Microsoft Intune 管理センターに Configuration Manager デバイスが表示されます。 この接続により、Microsoft Intune と Configuration Manager で管理するすべてのデバイスに対して 1 つのビューが提供されます。 この Web ベースのコンソールは、ヘルプ デスクのスタッフなど、Configuration Manager コンソール全体を使用したくない場合に役立つ場合があります。 エンドポイント分析の分析情報からもメリットを得ることができます。 Microsoft Intune 管理センターにデバイスをアップロードし、共同管理を有効にしないようにサイトを構成できます。 ただし、共同管理を有効にするまで、これらのデバイスは ConfigMgr によって引き続き管理されます。
テナントアタッチとその構成方法の詳細については、「 テナントのアタッチ」を参照してください。
Windows 365 クラウド PC を共同管理できますか?
はい。 Windows 365 クラウド PC を共同管理できます。
認証
Microsoft Entra ハイブリッド参加は共同管理の唯一のオプションですか?
いいえ。 Microsoft Entra ハイブリッド参加と共同管理は、次の 2 つの異なるものです。
Microsoft Entra ハイブリッド参加 は、デバイスがオンプレミスの Active Directory ドメインに参加し、Microsoft Entra ID に登録されているデバイス ID 状態です。
共同管理 を使用すると、Configuration Manager と Intune の両方で Windows 10 以降のデバイスを同時に管理できます。 Configuration Manager クライアントをインストールし、デバイスを Intune に登録します。 デバイスは、両方のサービスと通信します。 Configuration Manager ポリシーは、管理機関として Intune に切り替えるワークロードを制御します。 共同管理では、デバイスにクラウド ID が必要です。 この ID には、Microsoft Entra ハイブリッド参加または Microsoft Entra 参加のみを指定できます。
Active Directory に既に参加している既存の Configuration Manager クライアントの場合は、共同管理を有効にする前にハイブリッド参加する必要があります。
Microsoft Entra ID でクラウド ドメインに参加しているだけの新しいデバイスの場合は、すぐに共同管理を有効にすることができます。 新しい共同管理デバイスに対する Microsoft Entra ハイブリッド参加の要件はありません。
詳細については、「 共同管理に Microsoft Entra ID を使用する」を参照してください。
共同管理は Microsoft Entra 参加済みデバイスをサポートしていますか?
はい。 共同管理では、Microsoft Entra 参加済みデバイスと Microsoft Entra ハイブリッド参加済みデバイスの両方がサポートされます。 詳細については、「 共同管理の前提条件」を参照してください。
環境にグループ ポリシー オブジェクトとレガシ認証アプリが多すぎます。 ハイブリッド Microsoft Entra ID を使用する必要がありますか?
場合によって異なります。 一部のお客様は、グループ ポリシーが必要であるか、Win32 アプリ認証が必要であるため、Microsoft Entra 参加済みデバイスに関する懸念があります。 実際のブロックであるかどうかを理解するには、より詳細な情報が必要です。
アプリの場合は、Microsoft Entra 参加済みデバイスでテストします。 通常、コンピューターベースの認証を必要とするアプリのみが機能せず、一般的ではありません。 アプリがクラウド ドメインに参加しているデバイスで動作する場合は、そのアプリのためにデバイスをハイブリッド参加させる必要はありません。
グループ ポリシーの場合は、既存のすべてのグループ ポリシー オブジェクト (GPO) を Intune ポリシーに変換しないでください。 クラウドマネージド デバイスの場合、シナリオには適用されないグループ ポリシーがいくつかあります。 グループ ポリシー設定が構成されている理由がわからない場合は、引き続き必要かどうかを判断する機会になります。 また、使用しなくなったアプリの設定を引き続き使用していないことを確認してください。 このプロセスは、クラウドで管理されるデバイスのパフォーマンスと構成の要件を最適化する機会です。
Microsoft ポリシー分析を使用して、Intune に移行する必要がある GPO に重要な設定があるかどうかを理解するのに役立ちます。 詳細については、「 グループ ポリシー分析を使用する」を参照してください。
ハイブリッド認証には、Windows 10 以降のデバイスに必要な設定の確認を避けるためだけに投資しないでください。 この機会を利用して、将来に向けてより良い立場に立つ時間を投資してください。 また、正常でクリーンなデバイス構成は、パフォーマンスとユーザー エクスペリエンスに役立ちます。 新しいハードウェアを購入せず、最新の Windows バージョンをインストールしてから、古い構成を適用してください。
自動登録を実行するには、ユーザーをサインインさせる必要がありますか?
いいえ。 デバイス トークンは、デバイスを Intune に登録するために使用されます。 設定を適用するために、ユーザーが Windows にサインインする必要はありません。
共同管理を設定する場合は、Configuration Manager によって現在管理されているデバイスの自動登録を有効にします。 必要に応じて、パイロット コレクションに対してのみ自動登録のスコープを設定できます。
詳細については、「 共同管理を有効にする方法」を参照してください。 このプロセスを開始する前に、共同管理の前提条件が設定されていることを確認してください。 詳細については、前提条件をご覧ください。
Azure AD Graph API と Azure AD 認証ライブラリ (ADAL) の廃止に関して何かする必要がありますか?
おそらくそうではない可能性があります。 詳細については、「 CMG FAQ」を参照してください。
ワークロード
共同管理を有効にしました。最初に切り替える必要があるワークロードはどれですか?
コンプライアンス は、ほとんどのお客様が最初に切り替えるワークロードです。 このワークロードを Intune に切り替えた場合でも、デバイスに Configuration Manager からの設定の評価を要求できます。 Intune でコンプライアンス ポリシーを構成する場合は、 Configuration Manager からデバイスコンプライアンスを要求するように有効にします。 その後、デバイスコンプライアンス状態を使用して、クラウドベースのリソースへの 条件付きアクセス を制御できます。 この構成を使用すると、Configuration Manager で既に行っているコンプライアンス チェックを変更することなく、クラウド サービスの使用を開始できます。
コンプライアンスの後、最も一般的なワークロードは 、Office クイック実行アプリ、 クライアント アプリ、 および Windows Update ポリシーです。
アプリのワークロードを Intune に切り替える場合でも、Configuration Manager からアプリケーションをデプロイできます。 この構成では、Intune でアプリを割り当てることもできます。 新しいポータル サイトには Configuration Manager アプリと Intune アプリの両方が表示されるため、エクスペリエンスは完全に統合されています。 詳細については、「共同管理デバイスでポータル サイト アプリを使用する」を参照してください。
ソフトウェア更新プログラムの場合、多くのお客様は Configuration Manager でマイクロ管理するのではなく、Windows Update for Business を使用しています。 Windows 更新プログラムがクラウドに存在する場合は、オンプレミス ネットワークに同期してインターネット上のクライアントに再配布する代わりに、このワークロードをクラウドで完全に管理するのが最新の方法です。
詳細については、「共同管理ワークロード」を参照してください。
共同管理で Windows Autopilot を使用できますか?
はい。 共同管理の 2 つのパスの 1 つは、最新のプロビジョニングでブートストラップすることです。 新しいデバイスまたは再利用されたデバイスの場合、 Autopilot はそれを Microsoft Entra ID に参加させ、Intune に登録します。 Intune では、Configuration Manager クライアントを展開し、共同管理を有効にすることができます。
詳細については、「 共同管理のためにインターネット ベースのデバイスを準備する方法」を参照してください。
注:
Microsoft Entra ハイブリッド参加の Windows Autopilot ユーザー駆動モードで新しいコンピューターをプロビジョニングしているときに、Configuration Manager クライアントを展開することはできません。 この制限は、Microsoft Entra 参加プロセス中のデバイスの ID 変更が原因です。 Autopilot プロセスの後に構成マネージャー クライアントを展開します。 クライアントをインストールする別のオプションについては、「 Configuration Manager でのクライアント のインストール方法」を参照してください。
Windows および Microsoft 365 アプリの更新プログラムを管理するにはどうすればよいですか?
Configuration Manager または Intune を使用して、Windows アプリと Microsoft 365 アプリの更新プログラムを管理できます。 Configuration Manager は、これらの更新プログラムとそのコンテンツを管理するための非常に詳細で制御されたプロセスを提供します。これは、一部のお客様にとって重要です。 最新のアプローチは、デバイスを最新の状態に保つだけでなく、タイミングとユーザー エクスペリエンスを制御することです。
Windows Update ポリシーのワークロードを Intune に切り替えると、Windows 品質と機能更新プログラムの管理機関になります。 Intune を使用して、更新リングと機能更新設定の設定を構成します。 詳細については、「 Intune で Windows ソフトウェア更新プログラムを管理する」を参照してください。
Office クイック実行アプリワークロードを Intune に切り替えると、Microsoft 365 アプリと更新プログラムの管理機関になります。 新しい Microsoft 365 スイートの展開を作成するときに、クライアントの更新チャネルを選択します。 詳細については、次の記事を参照してください。
共同管理では、Intune のコンプライアンス ポリシーと Configuration Manager のコンプライアンス設定を使用して、デバイスの全体的なコンプライアンスを評価できますか?
はい。 環境を共同管理し、コンプライアンス ワークロードを Intune に切り替えたら、既存の Configuration Manager コンプライアンス設定を使用して 条件付きアクセスと統合できます。 詳細については、次の記事を参照してください。
どこからでも作業できる
自宅で作業しているユーザーのデバイスの VPN 帯域幅を管理するためのオプションは何ですか?
次のブログ投稿を参照してください。クラウド管理ゲートウェイ (CMG) を使用する方法と、スプリット トンネル VPN を使用して設定して最適なエクスペリエンスを提供し、VPN トラフィックを軽減する方法について詳しく説明します。
共同管理にはクラウド管理ゲートウェイ (CMG) が必要ですか?
いいえ。 CMG は、デバイス接続用の Configuration Manager 機能です。 Configuration Manager クライアントが共同管理されている場合は、インターネット上に CMG を使用する必要があります。 CMG を使用しない環境の共同管理クライアントは、オンプレミス ネットワークの外部をローミングするときに VPN 接続に依存する必要があります。
Microsoft Entra 参加済みの共同管理デバイスをプロビジョニングするシナリオでは、CMG が必要です。 これにより、インターンベースのデバイスは、Autopilot プロセスの後に Configuration Manager クライアントをインストールできます。
詳細については、次の記事を参照してください。
リモート クライアントがソフトウェア更新プログラムをインストールするために、コンテンツが有効な CMG にソフトウェア更新プログラムを配布する必要がありますか?
いいえ。 Windows 更新プログラムはインターネット上で既に利用できるため、CMG に配布する必要はありません。
以前のバージョンでは、Configuration Manager はクラウドベースのコンテンツ ソースへの更新パッケージをブロックしました。 サード パーティのソフトウェア更新プログラムを配布できるように、この制約は削除されました。 Microsoft 更新プログラムから入手できる更新プログラムは CMG に配布しないでください。
CMG を使用して Microsoft Updates クラウド サービスから直接更新プログラムを取得する場合、Configuration Manager クライアントにはネイティブ アフィニティがあります。 CMG が Microsoft Updates サービスと構成ガイダンスと連携する方法の詳細については、 Microsoft Configuration Manager でのクラウド管理ゲートウェイを使用したリモート マシンの管理に関するブログ記事を参照してください。